Was genau unter einer „Kopie“ der personenbezogenen Daten zu verstehen ist, war lange unklar. Nun äußerte sich der Europäische Gerichtshof zu Inhalt und Umfang des Auskunftsrechts der betroffenen Person über ihre personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

Das Recht, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten ausgehändigt werden muss. Dieses Recht impliziert, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die diese Daten enthalten, zu erlangen, wenn dies unerlässlich ist, um einem Auskunftsanspruch nach der DSGVO gerecht zu werden. Damit hat der Europäische Gerichtshof (EuGH) eine bislang ungeklärte Rechtsfrage geklärt (EuGH, Urteil vom 04.05.2023, Rechtssache C-487/21).

Eine Kopie ist eine Kopie ist eine Kopie. Doch was ist eine Kopie nach der DSGVO? Hier galt bislang großes Rätselraten, denn seit langem ist umstritten, wie der Anspruch auf Zurverfügungstellung einer Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 S. 1 DSGVO zu verstehen ist. Vielfach wird versucht diesen Anspruch zu nutzen, um an Kopien von Dokumenten zu kommen, welche anderenfalls nur kostenpflichtig zur Verfügung gestellt werden, z.B. Kontoauszüge oder Patientenakten, aber auch in arbeitsrechtlichen Auseinandersetzungen wird immer wieder um die Herausgabe der Kopie der personenbezogenen Daten gerungen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Hintergrund des Urteils des Europäischen Gerichtshofs (EuGH) war das Auskunftsbegehren einer Privatperson gegenüber der Kreditauskunftei CRIF über die ihn betreffenden personenbezogenen Daten. Eine Kreditauskunftei ist ein Unternehmen, welches die Kreditwürdigkeit von Firmen oder Privatpersonen prüft und diese Informationen auf Verlangen ihrer Kunden an diese weitergibt. Neben dem Auskunftsbegehren über die Verarbeitung seiner personenbezogenen Daten, bat die Privatperson um Zurverfügungstellung einer Kopie der Dokumente, die seine Daten enthalten, und zwar „in einem üblichen technischen Format“. Gemeint waren mit den Dokumenten beispielsweise E-Mails und Auszüge aus Datenbanken.

Die darauffolgende Übermittlung einer Liste der verarbeiteten personenbezogenen Daten durch die CRIF erfolgte jedoch lediglich in aggregierter Form, also so, dass die Daten nicht mehr auf eine konkrete Person zurückführbar sind. Dies reichte der Privatperson nicht aus, denn sie war der Ansicht, dass ihr eine Kopie sämtlicher Dokumente zustehen würde, welche die entsprechenden Daten enthalten. Die aus diesem Grund eingereichte Beschwerde wurde von der zuständigen österreichischen Datenschutzbehörde abgewiesen. Die Behörde war der Meinung, dass das Auskunftsrecht durch die Übermittlung der aggregierten Daten nicht verletzt worden war. Die Privatperson reichte daraufhin Klage vor dem Bundesverwaltungsgericht Österreich ein.

Rechtlicher Hintergrund: Art. 15 Abs. 3 S. 1 DSGVO

Kern des Urteils des EuGH ist die Beantwortung der Ausgangsfrage des Bundesverwaltungsgerichts Österreich über die Tragweite der Verpflichtung in Art. 15 Abs. 3 S. 1 DSGVO der betroffenen Person eine „Kopie“ der personenbezogenen Daten zur Verfügung zu stellen. Konkret regelt der Art. 15 Abs. 3 S. 1 DSGVO, dass die beantragten Informationen in einem gängigen elektronischen Format zur Verfügung gestellt werden müssen, sofern die betroffene Person den Antrag ebenfalls elektronisch stellt und ansonsten nichts anderes angibt. Ob hier auch eine Übermittlung in aggregiertem Format ausreicht, geht aus dem Gesetzestext nicht eindeutig hervor.

Laut EuGH ist unter einer „Kopie“ im Sinne des Art. 15 Abs. 3 S. 3 DSGVO eine originalgetreue und verständliche Reproduktion aller personenbezogenen Daten zu verstehen. Insofern hat die Person, die die Auskunft begehrt, ein Recht auf eine Kopie von Auszügen aus Dokumenten oder auch vollständigen Dokumenten oder Auszügen aus Datenbanken, die diese Daten enthalten. Voraussetzung ist, dass die Übermittlung der Daten in dieser Form unerlässlich ist, für die wirksame Ausübung der Rechte, die der betroffenen Person durch die DSGVO zustehen. Insofern soll die Übermittlung aggregierter Daten dem Auskunftsbegehren nicht gerecht werden. Bei der genauen Beurteilung dürfen die Rechte und Freiheiten Dritter jedoch nicht außer Acht gelassen werden. Vielmehr sind alle betroffenen Rechte gegeneinander abzuwägen. Allerdings darf die Auskunft hierdurch nicht vollständig verweigert werden.

Begründung des Gerichts

Zur Begründung führt der EuGH unterschiedliche Argumente an und beleuchtet unter anderem den Gesetzeswortlaut und den Sinn und Zweck der Regelung.

Dass mit dem Auskunftsbegehren eine originalgetreue Reproduktion oder Abschrift gefordert wird, sei bereits nach dem allgemeinen Verständnis des Begriffs „Kopie“ klar.

Außerdem beziehe sich der Begriff nicht auf ein Dokument als solches, sondern auf die darin enthaltenen personenbezogenen Daten, die vollständig sein müssen. Die Kopie muss demnach auch alle personenbezogenen Daten umfassen, die verarbeitet werden.


Mit der Übermittlung von aggregierten Daten sei es einer Person jedenfalls unmöglich genau überprüfen zu können, ob ihre Daten z.B. auch in rechtlich zulässiger Weise verarbeitet werden. Eine solche Übermittlung würde auch der Pflicht des Verantwortlichen, der betroffenen Person alle Informationen in transparenter und leicht verständlicher und zugänglicher Sprache zu übermitteln, entgegenstehen.

ezo